Aktualności

Raport Roczny CERT Polska 2009

Data publikacji: 23/03/2010, rt

Zespół CERT Polska opublikował raport podsumowujący rok 2009.

W raporcie odnosimy się do statystyk incydentów obsłużonych przez CERT Polska w poprzednim roku. Prezentujemy także subiektywne wnioski i dodatkowe statystyk na podstawie danych zbieranych przez nasz zespół. Zamieściliśmy także opis najważniejszych wydarzeń dotyczących działalności zespołu. Jest to zwarty obraz podsumowujący cały rok naszej pracy.
Odrębną, istotną częścią jest także raport ze zdarzeń i obserwacji z autorskiego systemu ARAKIS (www.arakis.pl).

Cały raport znajduje się pod adresm: http://www.cert.pl/PDF/Raport_CP_2009.pdf

CERT Polska w serwisie Twitter!

Data publikacji: 12/03/2010, TomaszG.

CERT Polska TwitterZapraszamy do śledzenia naszych kanałów w serwisie Twitter! Prowadzimy dwa mikroblogi – jeden w języku polskim a drugi angielskim. Będziemy tam publikować między innymi informacje dotyczące naszej działalności oraz ciekawych obserwacji poczynionych przez nasz zespół. Chcemy również przekazywać interesujące bądź ważne informacje publikowane przez innych, a także dzielić się naszymi komentarzami.

Posiadacze profilu w serwisie Twitter mogą mas śledzić bezpośrednio używając opcji „follow”. Pozostali mogą zasubskrybować nasze twitterowe kanały RSS.

 

Polskie zespoły bezpieczeństwa zgodnie odradzają wykorzystywania przeglądarki Internet Explorer 6

Data publikacji: 08/02/2010, przemek

warning28 stycznia w Warszawie odbyło się XIV spotkanie ABUSE-FORUM, grupy eksperckiej powstałej z inicjatywy NASK, zrzeszającej przedstawicieli zespołów reagujących CSIRT (Computer Security Incident Response Team), zespołów bezpieczeństwa polskich operatorów telekomunikacyjnych oraz dostarczycieli treści internetowych.

Czytaj więcej

Nowa luka w Internet Explorer – zalecenia CERT Polska

Data publikacji: 19/01/2010, CERT Polska

IE-0day

W związku z ostatnimi doniesieniami na temat zidentyfikowania nowej luki typu 0day, która pozwala na uruchomienie złośliwego kodu na komputerze użytkownika, zespół CERT Polska zaleca :

  1. Zrezygnować z używania przeglądarki Internet Explorer 6
  2. W przypadku używania przeglądarki Internet Explorer – korzystać  z wersji 7 lub 8 z WŁĄCZONYM trybem „Protected Mode” [1] oraz aktywować funkcję DEP (Data Execution Prevention) [2]
  3. W przypadku konieczności korzystania z funkcjonalności ograniczonej uruchominiem „Protected Mode” lub DEP wykorzystywanie alternatywnych przeglądarek (np: Mozilla Firefox, Opera, Chrome, itp.)

Aktualizacji łatającej lukę można spodziewać się nie wcześniej, jak 9 lutego.

Jak podaje blogs.technet.com aktualizacji możemy spodziewać się juz 21 stycznia 2010

Więcej informacji na temat luki oraz przeglądarek podatnych na atak można znaleźć na stronie blogs.technet.com. Można tam znaleźć również opis jak zabezpieczyć się przed opisaną luką.

Swoją opinią w sprawie omawianej luki podzielił się z nami Polski oddział firmy Microsoft Corporation.

Stanowisko Microsoft przesłane do CERT Polska :

Microsoft jest zaniepokojony faktem, że został opublikowany kod wykorzystujący lukę bezpieczeństwa, która dotyka klientów używających przeglądarki Internet Explorer 6. Pragniemy podkreślić, że dzięki zaawansowanym narzędziom bezpieczeństwa w Internet Explorer 8, do tej pory nie zaobserwowano podobnych ataków na komputery użytkowników korzystających z tej wersji przeglądarki. Nie stwierdziliśmy także żadnych ataków na użytkowników korzystających z Internet Explorer 7.

W celu ochrony naszych konsumentów, zalecamy wszystkim klientom natychmiastowy upgrade przeglądarki do wersji Internet Explorer 8.

Konsumenci powinni także rozważyć zastosowanie się do tymczasowych rozwiązań dostarczonych w Biuletynie Bezpieczeństwa.

CERT Polska w projekcie FISHA

Data publikacji: 06/03/2009, alex

Od marca 2009 roku CERT Polska weźmie udział w dwuletnim unijnym projekcie FISHA (A Framework for Information Sharing and Alerting). Głównym celem projektu jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w sieci Internet. Najważniejszym przeznaczeniem takiego systemu ma być skuteczne dotarcie z aktualną informacją oraz edukacja, a w efekcie wzrost świadomości – odnośnie kwestii bezpieczeństwa on-line – wśród użytkowników domowych oraz firm z sektora małych i średnich przedsiębiorstw. Skoncentrowanie uwagi na tego typu odbiorcach wynika z faktu, że grupy te, jako całość, mają znaczący wpływ na stan bezpieczeństwa w sieci, a tym samym na bezpieczeństwo krytycznej infrastruktury teleinformatycznej krajów Unii Europejskiej. Jednocześnie, obie te grupy pozostają łatwym celem ataków, z powodu zbyt niskiej świadomości zagadnień bezpieczeństwa oraz braku umiejętności wdrażania odpowiednich środków zabezpieczeń lub ich zaniedbywania.

Projekt realizowany będzie w ramach specjalnego programu „Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks” Komisji Europejskiej i powstanie we współpracy pomiędzy NASK, CERTem węgierskim (CERT-Hungary) oraz niemieckim instytutem badawczym Internet Security Centre z Uniwersytetu Gelsenkirchen.

Wstępnym wyznacznikiem prac w tym projekcie są rezultaty badań Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), przeprowadzonych w latach 2006-2007 i dotyczących możliwości utworzenia systemu typu EISAS. W opracowaniu studium wykonalności takiego systemu uczestniczyli (w ramach specjalnych grup roboczych ENISA) specjaliści z wielu różnych podmiotów zajmujących się bezpieczeństwem IT, w tym również z zespołu CERT Polska.

Projekt FISHA będzie obejmował opracowanie koncepcji ogólnoeuropejskiej wymiany informacji na temat zagrożeń oraz najlepszych praktyk dotyczących zabezpieczeń, łącząc istniejące już inicjatywy. Aktualnie, pomimo wielu takich przedsięwzięć w państwach członkowskich UE, w tym licznych serwisów bezpieczeństwa komputerowego, brakuje aktywnej i wielostronnej współpracy pomiędzy nimi. Z uwagi na to, jednym z głównych zadań projektowych będzie zapoczątkowanie i/lub wzmocnienie mechanizmów współpracy, także w oparciu o te, z powodzeniem działające w CERTowej społeczności. Funkcjonowanie systemu EISAS będzie wymagało m.in. opracowania architektury systemu a także specjalnego protokołu wymiany informacji, który zapewni sprawną i bezpieczną komunikację pomiędzy zaangażowanymi podmiotami.

W ramach projektu powstanie prototyp dedykowanego portalu internetowego dla systemu EISAS. Z założenia, portal ma stanowić europejskie forum informacyjne, na którym będą publikowane aktualne informacje dotyczące bezpieczeństwa komputerowego, pozyskiwane w ramach systemu EISAS. Przewidziane jest, że każde z państw członkowskich UE będzie miało docelowo własny, krajowy portal, pobierający odpowiednie informacje z głównego portalu. Ze względu na specyfikę rozważanej grupy odbiorców, istotne jest, żeby wszystkie informacje, publikowane na portalach, były sformułowane w łatwy do zrozumienia sposób. O przygotowanie komunikatów w „mniej technicznym” języku zadbają grupy specjalistów. Równocześnie, w ramach portali krajowych, komunikaty będą tłumaczone na język ojczysty danej narodowości. Przystępnie przygotowane informacje będą dostępne zarówno dla bezpośrednio zainteresowanych subskrybentów, jak i dla innych – istniejących już w danym kraju – serwisów internetowych, które powstały i działają z myślą o podobnych grupach odbiorców (np. Waarschuwingsdienst – w Holandii, CyTRAP Labs – w Szwajcarii, Cases Luxemburg, Sieciaki.pl – w Polsce).

Ważnym zadaniem projektu FISHA będzie także zaplanowanie i przygotowanie programu akcji informacyjno-edukacyjnej. W tym zakresie, istotny będzie przede wszystkim wybór odpowiednich środków komunikacji masowej i produktów edukacyjnych (filmy, broszury, plakaty, szkolenia, itp.), które pozwolą najskuteczniej dotrzeć do odbiorców z przystępną informacją, dotyczącą zagrożeń oraz zaleceń bezpieczeństwa komputerowego.

Inicjatywa zapoczątkowana projektem FISHA ma być motywacją do przeprowadzenia odpowiednich działań oraz akcji edukacyjnych w całej UE. Wsparciem ma być specjalny przewodnik, który zawierać będzie opis procedur, informacje oraz wskazówki, w jaki sposób, w dowolnym państwie UE, można stworzyć krajową replikę europejskiego portalu internetowego oraz systemu ostrzegania i wymiany informacji dotyczących bezpieczeństwa on-line, a także odpowiedniego programu edukacyjnego. W przyszłości, podjęta inicjatywa ma doprowadzić do wzrostu świadomości zagrożeń bezpieczeństwa komputerowego wśród użytkowników domowych oraz kadry sektora małych i średnich przedsiębiorstw UE, a także do efektywnego rozwoju współpracy pomiędzy kluczowymi podmiotami, co w efekcie ma przyczynić się do poprawy stanu bezpieczeństwa internetowego w skali europejskiej.

Powodzenie tej inicjatywy będzie zależało z pewnością od zainteresowania i zaangażowania ze strony instytucji rządowych państw członkowskich UE, Komisji Europejskiej, organizacji ENISA, różnych innych instytucji ds. bezpieczeństwa IT oraz środowiska akademickiego. Dlatego, w ramach projektu powstanie także odpowiedni program adresowany do takich instytucji, który ma skłonić do wsparcia tej inicjatywy. Nadmieńmy, że współpracę w realizacji projektu zaoferowały dotychczas m.in.: Finnish Telecom Agency FICORA, Electronic Government Centre of the Hungary, Hungarian Telecom Agency NHH, holenderski CERT rządowy (GovCERT.NL) oraz Cisco Hungary.

Prace zespołu CERT Polska w projekcie FISHA będą wspierane przez inne zespoły działające w strukturach NASK, w tym przez Dział Naukowy oraz Dział Rozwoju Oprogramowania. Ponadto, wykorzystane zostaną efekty badań oraz doświadczenia zdobyte podczas realizacji projektu Saferinternet.pl (w szczególności jego części –  Awareness), w ramach unijnego programu Safer Internet. W Polsce, projekt ten wspólnie realizują NASK oraz Fundacja Dzieci Niczyje, a jednym z głównych zadań jest koordynacja działań edukacyjnych promujących bezpieczne i efektywne korzystanie z Internetu wśród dzieci i młodzieży.

20. rocznica robaka internetowego – czas na podsumowania i wnioski (cz.1)

Data publikacji: 05/11/2008, CERT Polska

computer wormW niedzielę 2. listopada minęło dwadzieścia lat odkąd po raz pierwszy w sieci Internet pojawił się robak komputerowy (czyli samopowielający się i samopropagujący się przez sieć złośliwy program komputerowy). Jego autorem był Robert Tappan Morris. Został napisany by uwydatnić błędy w ówczesnych unixowych systemach z rodziny BSD, Sun oraz Vax. W założeniu twórcy miał być niegroźny. Jednakże błąd w kodzie spowodował, że szybko rozprzestrzenił się na ok. 6 tysięcy komputerów całkowicie je paraliżując. Usuwanie skutków działalności robaka zajęło 8 dni a szkody oszacowano na 10 mln dolarów. Robert Morris został osądzony i skazany.

Rocznica ta jest doskonałą okazją do podsumowania ewolucji robaków komputerowych, analizy metod ich propagacji, a także prześledzenia zmian w motywacji i celach ich autorów. Można też pokusić się o próbę odgadnięcia ich przyszłości. Poniżej opisane zostaną najciekawsze przypadki robaków internetowych będące swoistymi „kamieniami milowymi” w (nie)bezpieczeństwie sieci Internet.

Czytaj więcej

Phreaking w erze telefonii VoIP

Data publikacji: 28/10/2008, alex

Od połowy września 2008 roku w sieci obserwowane są skanowania w poszukiwaniu niezabezpieczonych bramek PSTN, które umożliwiają zestawienie połączenia pomiędzy siecią VoIP a publiczną siecią telefoniczną PSTN. Takie niepoprawnie skonfigurowane bramki PSTN umożliwiają atakującemu wykonywanie połączeń telefonicznych do abonentów publicznej sieci na koszt właściciela takiej bramki.

Atak polega na wysyłaniu (najczęściej na port 5060/UDP) pakietów zawierających żądanie INVITE protokołu SIP. Żądanie takie w zamierzeniu służy do inicjowania połączeń głosowych. Atakujący może dowolne sfałszować nagłówki żądania SIP (takie jak numer wywołujący czy identyfikator połączenia), jednak adres IP atakującego w opisywanym scenariuszu nie jest fałszowany, aby umożliwić mu otrzymanie odpowiedzi (a tym samym informacji o powodzeniu ataku). Gdy taki pakiet dotrze do publicznie dostępnej bramki PSTN, nastąpi przekazanie połączenia do publicznej sieci PSTN. Co ciekawe, gdy taki pakiet trafi do telefonu VoIP, nastąpi wywołanie (to właśnie dzwoniące telefony VoIP były jednym z symptomów, dzięki którym zauważono opisywane skanowania). Podejrzane żądania INVITE zostały także zauważone przez system wczesnego ostrzegania ARAKIS – pierwsze obserwacje pochodzą z 14 września 2008 roku. Dnia 2 października nastąpił znaczny wzrost takiej aktywności, co doprowadziło do wyzwolenia reguły systemu wykrywania włamań Snort “VOIP INVITE Message Flood“. Tak przedstawia się przykładowy pakiet protokołu SIP zarejestrowany na porcie 5060/UDP zawierający podejrzane żądanie INVITE:

voipdumpscrm

Aby zapobiec tego typu atakom, administratorzy bramek PSTN lub serwerów proxy SIP powinni wyeliminować możliwość nieautoryzowanego dostępu do tych usług. Zabezpieczenie powinno polegać na umożliwieniu korzystania z bramek tylko wybranym adresom IP (jeśli oprogramowanie bramek nie udostępnia takiej funkcjonalności, powinien zostać zastosowany firewall) lub tylko uwierzytelnionym użytkownikom. Centralki PBX (np. Asterisk) powinny zostać skonfigurowane w taki sposób, aby odrzucać nieautoryzowane żądania połączeń do sieci PSTN.

Infekcja na stronach internetowych Serious Magic – internauci zgrożeni

Data publikacji: 17/10/2008, alex

Jeszcze do niedawna odwiedzający stronę Serious Magic (seriousmagic.com) należącą do firmy Adobe Systems mogli zostać zainfekowani złośliwym oprogramowaniem. Wszystkiemu winni byli “właściciele” botnetu o nazwie Asprox, któremu metodą SQL injection udało się wstrzyknąć w kod strony odnośniki do złośliwych skryptów JavaScript. Specjaliści z firmy antywirusowej Sophos poinformowali o tym fakcie Adobe w zeszły piątek, 10 października. Sophos oficjalną informację opublikował dopiero dzisiaj (dzień wcześniej incydent został opisany na oficjalnym blogu).

Według strony diagnostycznej Google SafeBrowsing dla “seriousmagic.com/help/tuts” zagrożenie już zostało zażegnane. Wcześniej witryna ta miała rozpowszechniać 146 złośliwych skryptów, 17 exploitów i 3 trojany.

Asprox znany jest właśnie z masowych ataków SQL injection na wiele stron internetowych. Udało mu się zainfekować m.in. strony Redmond Magazine czy Sony PlayStation.

Przed złośliwymi skryptami JavaScript internautów chroni m.in. dodatek NoScript dedykowany przeglądarce Firefox.

Krytyczna aktualizacja Microsoft Windows

Data publikacji: 22/08/2008, alex

Microsoft wydał nadzwyczajną krytyczną łatę na wszystkie wspierane wersje systemu Windows. Poprawka łata podatność znajdującą się w mechanizmie obsługi zdalnych wywołań procedur MRPC (ang. Microsoft Remote Procedure Call). Dzięki niej atakujący jest w stanie przejąć całkowitą kontrolę nad podatnym systemem (wykonać dowolny kod). Ponadto luka może być wykorzystana w sposób całkowicie zdalny, co oznacza wysoką szansę na użycie jej przez robaki internetowe. To oznacza, że użytkownicy systemów Windows oraz administratorzy serwerów stojących na tym systemie, jeżeli jeszcze tego nie zrobili, powinni jak najszybciej je uaktualnić.

Luka opisana jest przez biuletyn bezpieczeństwa oznaczony numerem MS08-067. Można ją wykorzystać przesyłając specjalnie spreparowane polecenie RPC. Na systemach MS Windows 2000, Windows XP i Windows Server 2003 wykonanie dowolnego kodu nie wymaga żadnego uwierzytelnienia. W systemach Vista i Windows Server 2008 wykorzystanie luki wymaga odpowiednich uprawnień, dlatego patch skierowany dla tych systemów ma status “ważny” (important).

Specjaliści z Microsoft Malware Protection Center donoszą, że jeszcze przed wypuszczeniem poprawek obserwowali niewielkie (na razie) ataki wykorzystujące już tę podatność. Exploit został nazwany Exploit:Win32/MS08067.gen!A i jest używany do ściągnięcia trojana oznaczonego jako TrojanSpy:Win32/Gimmiv.A.dll. Ponadto w Internecie można już znaleźć kod programu, który zdalnie wykorzystuje lukę do celów demonstracyjnych (tzw. PoC, z ang. Proof of Concept). Użyliśmy go do przetestowania systemu Windows XP niezaktualizowanego oraz zaktualizowanego, a zrzuty ekranu umieściliśmy poniżej:

Zdalny atak na podatny komputer:
cmd01

Komunikat błędu na zaatakowanym komputerze:
blad1
blad21
Zdalny atak na zabezpieczony komputer:
cmd02

Podatność ta jest niewątpliwie bardzo groźna. Jednakże występuje ona w mechanizmie, którego luki był już wielokrotnie wykorzystywany w historii przez różnego rodzaju robaki. To oznacza, że jeżeli dotychczas używane były odpowiednie zabezpieczenia w lokalnej sieci, to powinny one chronić również przed tą najnowszą podatnością. Chodzi tu np. o filtrowanie przez firewalla odpowiednich portów, takich jak 445, 139, 135, itp., które uniemożliwia propagowanie się takich robaków. Niestety, z naszych obserwacji (m.in. ruch obserwowany przez system ARAKIS) wynika, że “stare” robaki , jak Sasser czy Blaster, ciągle żyją i mają się bardzo dobrze. Czym to jest spowodowane? Bezpośrednio tym, że użytkownicy domowi oraz administratorzy nie aktualizują swoich systemów, nie używają antywirusów ani nie wykorzystują do tego firewalli. Czemu tak się dzieje, możemy tylko przypuszczać (zgadywać?). Powyższy przykład nie napawa nadzieją, że najnowsze zagrożenie – pomimo dostępnych kompletnych środków zabezpieczających – nie podzieli podobnego losu i nie będzie masowo wykorzystywane przez cyberprzestępców. Dlatego jeszcze raz apelujemy o aktualizowanie swojego systemu, wszelkich aplikacji, sygnatur antywirusowych, używanie zabezpieczeń (antywirus, firewall) i o zdrowy rozsądek oraz ograniczone zaufanie podczas używania Internetu.

Przydatne linki:

...10...1718192021